Programa de Auditoria - Cobit

PROGRAMA DE AUDITORIA – COBIT | AUDITORÍA INFORMÁT... http://auditordesistemas.blogspot.com/2012/02/programa-de-auditoria-co...
Sidebar
…
PROGRAMA DE AUDITORIA – COBIT
El programa de auditoría hace referencia a la programación de las

actividades y asignación de los procesos a auditar a cada uno de los
miembros del equipo auditor, por lo tanto inicialmente se debe determinar el
estándar que se va a aplicar, quienes serán los miembros del equipo auditor
… 1
y la especialidad de cada uno de ellos, y posteriormente se hace la
asiganación de las tareas para cada uno de ellos.
… 14
Para este caso se usará el estándar CobIT 4.1 de donde se tomará los
… procesos y objetivos de control relacionados directamente con el objetivo
general y alcances que fueron determinados en el plan de auditoría.
PROGRAMA DE AUDIT…
Cabe mencionar que dentro de cada proceso existen varios objetivos de
control y que no se debe seleccionar solo un objetivo de control sino que
… 4
pueden ser todos o aquellos que más estén relacionados con los alcances de
la auditoría.
… 16
Ejemplo de programa de auditoría para un sistema de información.
… 5
Incialmente hay que tener en cuenta el plan de auditoría porque allí se tiene
el objetivo que se pretende en la auditoría y los alcances de cada uno de los
… 1
ítem evaluados.
… 2 Plan de auditoría
… Objetivo general: Evaluar el sistema de información de usado para

el sistema de matrícula para garantizar la seguridad en cuanto a
4
confidencialidad, integridad y disponibilidad que permitan el
…
mejoramiento del sistema de control existente.
Alcances: En cuanto a los alcances de la auditoría se trabajará el

módulo de matrícula académica en línea, incluyendo los procesos
de registro y control, y el sistema de control interno que maneja la
dependencia para la protección de los datos e información.
Del módulo de matrícula académica se evaluará: Asignaturas a

matricular del Pensum, Asignaturas a matricular de formación
humanística, Matricular idiomas extranjeros, Cancelación de
asignaturas del Pensum, Cancelación de formación humanísticas,
Cancelación idiomas extranjeros, Autorizaciones, Reporte de
Matrícula,
Tema Vistas Actualización de información,
dinámicas. Con la tecnología de Blogger. Calificaciones, Calendario
1 de 15 27/4/2018 2:58 p. m.
Horarios, Horarios Humanística.
En cuanto al hardware: En cuanto al hardware se evaluará el

inventario de hardware de servidores, equipos y redes, incluyendo
los procesos mantenimiento, adquisición y actualización de los
mismos.
…
En cuanto al sistema: En cuanto al sistema se evaluará la

funcionalidad, procesamiento, seguridad perimetral del sistema,
seguridad interna del sistema, entradas y salidas generadas por el
sistema, calidad de los datos de entrada, la configuración del
sistema, la administración del sistema, planes de contingencias.
… 1
En cuanto a la operatividad del sistema: En cuanto a la
operatividad del sistema se evaluará los usuarios que manejan la
… 14 información, la administración del sistema y el monitoreo del
sistema.
…
Teniendo en cuenta el objetivo y los alcances especificados
anteriormente, y una vez seleccionado el estándar a trabajar (CobIT
4.1), se selecciona los dominios y procesos del estándar que
tengan relación directa con el objetivo y los alcances.
… 4
… 16 PROGRAMA DE AUDITORÍA
… 5 Para realizar el proceso de auditoría al Sistema de información de

Registro y control académico, se utilizará el estándar de mejores
1
práctica en el uso de Tecnología de información (TI) COBIT
…
(Objetivos de Control para la Información y Tecnologías
Relacionadas), donde se especifica el dominio, el proceso y los
… 2
objetivos de control que se debe trabaar en relación directa con el
objetivo y alcances, dentro de ellos se elegiría los siguientes:
…
Dominio: Planeación Y Organización (PO). Este dominio cubre
… 4 las estrategias y las tácticas, tiene que ver con identificar la manera
en que las tecnologías de información pueden contribuir de la mejor
manera al logro de los objetivos de una entidad.
Los procesos seleccionados que se revisará y los objetivos de

control a verificar son los siguientes:
Proceso: PO1 Definir un Plan Estratégico de TI: La definición de

un plan estratégico de tecnología de información, permite la gestión
y dirección de los recursos de TI de acuerdo a las estrategias y
requerimientos de la dependencia.
Los objetivos de control relacionados con los alcances de la

auditoría son
Tema Vistas los siguientes:
dinámicas. Con la tecnología de Blogger.
2 de 15 27/4/2018 2:58 p. m.
PO1.3 Ecaluación del desempeño y la capacidad actual: La

dependencia de registro y control académico manteiene una
evaluación períodica del desempeño de los planes institucionales y
de los sistemas de información encaminados a la contribución del
cumplimiento de los objetivos de la dependencia.
…
PO2 Definir la Arquitectura de la Información: Permite definir un

modelo de información, con el fin de integrar de forma transparente
las aplicaciones dentro de los procesos de la dependencia.
Los objetivos de control que se evaluaran son los siguientes:

… 1
PO2.2 Diccionario de datos y reglas de sintaxis de datos: Es
necesario la existencia de un diccionario de datos del sistema en la
… 14 dependencia y las actualizaciones que se hayan realizado al mismo
en las actualizaciones del sistema de acuerdo a los nuevos
… requerimientos.
PO2.3 Esquema de clasificación de los datos: Se debe establecer
un marco de referencia de los datos, clasificándolos por categorias,
y con la definición de normas y políticas de acceso a dichos datos.
… 4
PO2.4 Administración de la integridad de datos: Los

… 16 desarrolladores de la aplicación deben garantizar la integridad y
consistencia de los datos almacenados mediante la creación de
… 5 procesos y procedimientos.
1
PO4 Definir los Procesos, Organización y Relaciones de TI:
…
Dentro del área de sistemas debe estar claro y definido el personal
de la tecnología de la información, los roles, las funciones y
… 2
responsabilidades, permitiendo el buen funcionamiento de servicios
que satisfagan los objetivos de la Institución.
…
Los objetivos de control que se evaluarán son los siguientes:
… 4
PO4.6 Establecer roles y responsabilidades: Evaluar el
comportameinto de los roles y las responsabilidades definidas para
el personal de TI, el el área informática (administradores de la red.
administrador de sistema, supervisor de los indicadores de
cumplimiento, otros)
PO4.7 Responsabilidad del aseguramiento de la calidad de TI: Se

debe asignar la responsabilidad para el desempñeo de la función
de aseguramiento de la calidad (QA) proporcionando el grupo QA
del área informática los controles y la experiencia para
comunicarlos. Ademas se debe asegurar que la ubicación
organizacional, la responsabilidades y el tamaño del grupo de QA
satisfacen
Tema Vistas los requerimientos
dinámicas. dedela
Con la tecnología dependencia.
Blogger.
3 de 15 27/4/2018 2:58 p. m.
PO4.8 Responsabilidad sobre el riesgo, la seguridad y el

cumplimiento: Se debe establecer la propiedad y la responsabilidad
de los riesgos relacionados con TI a un nivel superior apropiado.
Definir y asignar roles críticos para administrar los riesgos de TI,
incluyendo la responsabilidad específica de la seguridad de la
… información, la seguridad física y el cumplimiento. Establecer
responsabilidad sobre la adminsitración del riesgo y la seguridad a
nivel de toda la dependencia para manejar los problemas a nivel
institucional. Es necesario asignar responsabilidades adicionales de
administración de la seguridad a nivel del sistema específico para
manejar problemas relacionados con la seguridad.
… 1
PO4.9 Propiedad de datos y del sistema: Proporcionar a la
dependencia de registro y control los procedimientos y
… 14 herramientas que le permitan enfrentar sus responsabilidades de
propiedad sobre los datos y los sistemas de información.
…
PO4.13 Personal clave de TI: Definir e identificar el personal clave
de TI y minimizar la dependencia de una sola persona
desempeñando la función de trabajo crítico.
… 4
PO8 Administrar la Calidad: Se debe elaborar y mantener un
sistema de administración de calidad, el cual incluya procesos y
… 16 estándares probados de desarrollo y de adquisición. Esto se facilita
por medio de la planeación, implantación y mantenimiento del
… 5 sistema de administración de calidad, proporcionando
requerimientos, procedimientos y políticas claras de calidad. Los
1
requerimientos de calidad se deben manifestar y documentar con
…
indicadores cuantificables y alcanzables. La mejora continua se
logra por medio del constante monitoreo, corrección de
… 2
desviaciones y la comunicación de los resultados a los interesados.
La administración de calidad es esencial para garantizar que TI
… está dando valor a la información de la dependencia, mejora
continua y transparencia para los interesados.
… 4
Los objetivos de control que serán evaluados son los siguientes:
PO8.3 Estándares de desarrollo y de adquisición: Adoptar y

mantener estándares para desarrollo y adquisición que siga el ciclo
de vida, hasta los entregables finales incluyendo la aprobación o no
en puntos clave con base en los criterios de aceptación acordados.
Los temas a considerar incluyen los estándares de codificación del
software, normas de nomenclatura, los formatos de archivos,
estándares de diseño para los esquemas y diccionarios de datos,
estándares para interfaz de ususrio, inter operatividad, eficiencia en
el desempaño del sistema, escalabilidad, estándares para el
desarrollo y pruebas, validación de los requerimientos, planes de
pruebas, pruebas
Tema Vistas dinámicas.unitarias, y dedeintegración.
Con la tecnología Blogger.
4 de 15 27/4/2018 2:58 p. m.
PO8.5 Mejora continua: Mantener y comunicar regularmente un

plan global de calidad que promueva la mejora contínua.
PO9 Evaluar y administrar los riesgos de TI: Encargado de

identificar, analizar y comunicar los riesgos de TI y su impacto
… potencial sobre los procesos y metas de la dependencia, con el
objetivo de asegurar el logro de los objetivos de TI.
PO9.1 Marco de trabajo de administración de riesgos: Se debe

establecer un marco de referencia de evaluación sistemática de
riesgos que contenga una evaluación regular de los riesgos de la
parte física de las comunicaciones, servidores y equipos con
… 1
indicadores de cumplimiento.
… 14 PO9.3 Identificación de eventos: Identificar los riesgos (una

amenaza explota las vulnerabilidades existentes), clasificandolas si
… son relevantes y en que medida afectan al área informática y la
dependencia de registro y control donde se maneja el sistema de
información.
PO9.4 Evaluación de los riesgos de TI: Medir los riesgos a través

… 4
de la evaluación periódica de la probabilidad e impacto de los
riesgos identificados, usando métodos cuantitativos y cualitativos,
… 16 que permitan la medición del riesgo encontrado.
… 5 PO9.5 Respuesta a los riesgos: Definir un plan de acción contra

riesgos, el proceso de respuesta a riesgos debe identificar las
1
estrategias tales como evitar, reducir, compartir o aceptar los
…
riesgos determinando los niveles de tolerancia a los riesgos y los
controles para mitigarlos.
… 2
PO9.6 Mantenimiento y monitoreo de un plan de acción de riesgos:

… Priorizar y planear las actividades de control y respuesta a la
solución de riesgos encontrados, teniendo en cuenta también la
… 4 parte económica de la solución de esta prioridad. Monitorear la
ejecucción de los planes y reportar cualquier desviciación a la alta
dirección.
Dominio: Adquirir e implementar (AI) Para llevar a cabo la

estrategia TI, se debe identificar las soluciones, desarrollarlas y
adquirirlas, así como implementarlas e integrarlas en la empresa,
esto para garantizar que las soluciones satisfaga los objetivos de la
empresa.
De este dominio se ha seleccionado los siguientes procesos y

objetivos de control:
Tema Vistas dinámicas. Con la tecnología de Blogger.
5 de 15 27/4/2018 2:58 p. m.
AI2 Adquirir y Mantener Software Aplicativo: Las aplicaciones

deben estar disponibles de acuerdo con los requerimientos de la
dependencia. Este proceso cubre el diseño de las aplicaciones, la
inclusión apropiada de controles aplicativos y requerimientos de
seguridad, y el desarrollo y la configuración en sí de acuerdo a los
… estándares. Esto permite apoyar la operatividad de la dependencia
de forma apropiada con las aplicaciones automatizadas correctas.
AI2.1 Diseño de Alto Nivel: Traducir los requerimientos a una

especificación de diseño de alto nivel para la adquisición de
software, teniendo en cuenta las directivas tecnológicas y la
arquitectura de información dentro de la dependencia. Tener
… 1
aprobadas las especificaciones de diseño por la dependencia para
garantizar que el diseño de alto nivel responde a los
… 14 requerimientos. Reevaluar cuando sucedan discrepancias
significativas técnicas o lógicas durante el desarrollo o
… mantenimiento.
AI2.2 Diseño Detallado: Preparar el diseño detallado y los
requerimientos técnicos del software de aplicación. Definir el criterio
de aceptación de los requerimientos. Aprobar los requerimientos
… 4
para garantizar que corresponden al diseño de alto nivel. Realizar
reevaluaciones cuando sucedan discrepancias significativas
… 16 técnicas o lógicas durante el desarrollo o mantenimiento.
… 5 AI2.3 Control y Posibilidad de Auditar las Aplicaciones: Implementar

controles de aplicación automatizados tal que el procesamiento sea
1
exacto, completo, oportuno, autorizado y auditable.
…
AI2.4 Seguridad y Disponibilidad de las Aplicaciones: Abordar la

… 2
seguridad de las aplicaciones y los requerimientos de disponibilidad
en respuesta a los riesgos identificados y en línea con la
… clasificación de datos, la arquitectura de la información, la
arquitectura de seguridad de la información y la tolerancia a riesgos
… 4 de la organización.
AI2.5 Configuración e Implantación de Software Aplicativo Adquirido:

Configurar e implementar software de aplicaciones adquiridas para
conseguir los objetivos de negocio.
AI2.6 Actualizaciones Importantes en Sistemas Existentes: En caso

de cambios importantes a los sistemas existentes que resulten en
cambios significativos al diseño actual y/o funcionalidad, seguir un
proceso de desarrollo similar al empleado para el desarrollo de
sistemas nuevos.
AI2.7 Desarrollo de Software Aplicativo: Garantizar que la

funcionalidad de automatización
Tema Vistas dinámicas. se desarrolla de acuerdo con las
Con la tecnología de Blogger.
6 de 15 27/4/2018 2:58 p. m.
especificaciones de diseño, los estándares de desarrollo y

documentación, los requerimientos de calidad y estándares de
aprobación. Asegurar que todos los aspectos legales y
contractuales se identifican y direccionan para el software aplicativo
desarrollado por terceros.
… AI2.9 Administración de los Requerimientos de Aplicaciones: Seguir

el estado de los requerimientos individuales durante el diseño,
desarrollo e implementación, y aprobar los cambios a los
requerimientos a través de un proceso de gestión de cambios
establecido.
AI2.10 Mantenimiento de Software Aplicativo: Desarrollar una

… 1
estrategia y un plan para el mantenimiento de aplicaciones de
software.
… 14
AI3 Adquirir y Mantener Infraestructura Tecnológica: Las

… Dependencias deben contar con procesos para adquirir,
Implementar y actualizar la infraestructura tecnológica. Esto
requiere de un enfoque planeado para adquirir, mantener y proteger
la infraestructura de acuerdo con las estrategias tecnológicas
convenidas y la disposición del ambiente de desarrollo y pruebas.
… 4
Esto garantiza que exista un soporte tecnológico en la
organización.
… 16
AI3.1 Plan de Adquisición de Infraestructura Tecnológica: Generar
… 5 un plan para adquirir, Implementar y mantener la infraestructura
tecnológica que satisfaga los requerimientos establecidos
1
funcionales y técnicos que esté de acuerdo con la dirección
…
tecnológica de la dependencia. El plan debe considerar extensiones
futuras para adiciones de capacidad, costos de transición, riesgos
… 2
tecnológicos y vida útil de la inversión para actualizaciones de
tecnología. Evaluar los costos de complejidad y la viabilidad del
… software al añadir nueva capacidad técnica.
… 4 AI3.2 Protección y Disponibilidad del Recurso de Infraestructura:

Implementar medidas de control interno, seguridad y auditabilidad
durante la configuración, integración y mantenimiento del hardware
y del software de la infraestructura para proteger los recursos y
garantizar su disponibilidad e integridad. Se deben definir y
comprender claramente las responsabilidades al utilizar
componentes de infraestructura sensitivos por todos aquellos que
desarrollan e integran los componentes de infraestructura. Se debe
monitorear y evaluar su uso.
AI3.3 Mantenimiento de la Infraestructura: Desarrollar una estrategia

y un plan de mantenimiento de la infraestructura y garantizar que se
controlan los cambios, de acuerdo con el procedimiento de
administración de Con
Tema Vistas dinámicas. cambios de de
la tecnología la Blogger.
dependencia. Incluir una revisión
7 de 15 27/4/2018 2:58 p. m.
periódica contra las necesidades, administración de parches y

estrategias de actualización, riesgos, evaluación de
vulnerabilidades y requerimientos de seguridad.
AI3.4 Ambiente de Prueba de Factibilidad: Establecer el ambiente

de desarrollo y pruebas para soportar la efectividad y eficiencia de
… las pruebas de factibilidad e integración de aplicaciones e
infraestructura, en las primeras fases del proceso de adquisición y
desarrollo. Hay que considerar la funcionalidad, la configuración de
hardware y software, pruebas de integración y desempeño,
migración entre ambientes, control de la versiones, datos y
herramientas de prueba y seguridad.
… 1
AI6 Administrar cambios: Para realizar algún cambio bien sea de
software, de hardware de comunicaciones o de servidores, debe
… 14 existir un proceso que administre formalmente y controladamente
dichos cambios, cada cambio debe seguir un proceso de recepción,
… evaluación, prioridad y autorización previo a la implantación, sin
obviar la constatación o revisión después del cambio, esto con el fin
de reducir riesgos que impacten negativamente la estabilidad o
integridad del ambiente del buen funcionamiento de las
comunicaciones y servidores.
… 4
AI6.3 Cambios de emergencia: La Dependencia debe tener

… 16 establecido un proceso para definir, plantear, evaluar y autorizar los
cambios de emergencia que no sigan el proceso de cambio
… 5 establecido. La documentación y pruebas se realizan,
posiblemente, después de la implantación del cambio de
1
emergencia.
…
AI6.4 Seguimiento y reporte del estatus de cambio: Se debe hacer

… 2
un seguimiento a través de un reporte de las solicitudes de cambio,
de solución y autorización.
…
AI6.5 Cierre y documentación del cambio: Establecer un proceso de
… 4 revisión para garantizar la implantación completa de los cambios.
Dominio Entregar Y Dar Soporte (DS). Encargado de garantizar

la entrega de los servicios requeridos por la empresa, dentro de
este dominio se evaluará los siguientes procesos y objetivos de
control:
DS4 Garantizar la Continuidad del Servicio: Es importante que

dentro de la dependencia se garantice la continuidad de los
servicios de TI, para ello es importante desarrollar, mantener y
probar planes de continuidad y así asegurar el mínimo impacto en
caso de una interrupción de servicios TI, esto se logra con el
desarrollo y mantenimiento (mejorado) de los planes de
contingencia de TI,Con
Tema Vistas dinámicas. con entrenamiento
la tecnología de Blogger. y pruebas de los planes de
8 de 15 27/4/2018 2:58 p. m.
contingencia de TI y guardando copias de los planes de

contingencia.
DS4.2 Planes de continuidad de TI: La metodología de continuidad

debe ser diseñado para reducir el impacto de un desastre, debe
presentar diferentes alternativas de recuperación inmediata de los
… servicios, también debe cubrir los lineamientos de uso, los roles y
responsabilidades, los procedimientos, los procesos de
comunicación y el enfoque de pruebas.
DS4.3 Recursos críticos de TI: Revisar si se lleva un control de los

planes de continuidad, de acuerdo al nivel de prioridad, asegurarse
de que la respuesta y la recuperación están alineadas con las
… 1
necesidades prioritarias de la dependencia y considerar los
requerimientos de resistencia, respuesta y recuperación para
… 14 diferentes niveles de prioridad.
… DS4.4 Mantenimiento del plan de continuidad de TI: Se debe

mantener el plan de continuidad activo, vigente y actualizado y que
refleje de manera continua los requerimientos actuales del Área
Informática y de la dependencia de registro y control.
… 4
DS4.5 Pruebas del plan de continuidad de TI: Es importante que
dentro de la dependencia el plan de continuidad sea conocido por
… 16 todas las partes interesadas, es esencial que los cambios en los
procedimientos y las responsabilidades sean comunicados de
… 5 forma clara y oportuna. Hacer pruebas de continuidad de forma
regular para asegurar que los procesos de TI pueden ser
1
recuperados de forma efectiva y así probar que el plan es efectivo o
…
sino corregir deficiencias en el plan, y así ejecutar un plan de
acción para permitir que el plan permanezca aplicable.
… 2
DS4.6 Entrenamiento del plan de continuidad de TI: La organización

… debe asegurarse que todos las partes involucradas reciban
capacitaciones de forma regular respecto a los procesos y sus roles
… 4 y responsabilidades en caso de incidente o desastre. Verificar e
incrementar el entrenamiento de acuerdo con los resultados de las
pruebas de contingencia.
DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones:

Almacenar fuera de las instalaciones todos los medios de respaldo,
documentación y otros recursos de TI críticos, necesarios para la
recuperación de TI y para los planes de continuidad de la
dependencia. El contenido de los respaldos a almacenar debe
determinarse en conjunto entre los responsables de los procesos
de la dependencia y el personal de TI. La administración del sitio de
almacenamiento externo a las instalaciones, debe apegarse a la
política de clasificación de datos y a las prácticas de
almacenamiento deCondatos
Tema Vistas dinámicas. de la
la tecnología de organización.
Blogger. Las directivas de TI
9 de 15 27/4/2018 2:58 p. m.
debe asegurar que los acuerdos con sitios externos sean evaluados
periódicamente, al menos una vez por año, respecto al contenido, a
la protección ambiental y a la seguridad. Asegurarse de la
compatibilidad del hardware y del software para poder recuperar los
datos archivados y periódicamente probar y renovar los datos
archivados.
…
DS4.10 Revisión Post Reanudación: Una vez lograda una exitosa

reanudación de las funciones de TI después de un desastre,
determinar si las directivas de TI ha establecido procedimientos
para valorar lo adecuado del plan y actualizar el plan en
consecuencia.
… 1
DS5 Garantizar la seguridad de los sistemas: Garantizar la
protección de la información e infraestructura de TI con el fin de
… 14 minimizar el impacto causado por violaciones o debilidades de
seguridad de la TI.
…
Los objetivos de control que se evaluarán son los siguientes:
DS5.2 Plan de Seguridad de TI: Trasladar los requerimientos de la
dependencia, riesgos y cumplimiento dentro de un plan de
… 4
seguridad de TI completo, teniendo en consideración la
infraestructura de TI y la cultura de seguridad. Asegurar que el plan
… 16 esta implementado en las políticas y procedimientos de seguridad
junto con las inversiones apropiadas en los servicios, personal,
… 5 software y hardware. Comunicar las políticas y procedimientos de
seguridad a los interesados y a los usuarios.
… 1
DS5.3 Administración de Identidad: Asegurar que todos los usuarios
(internos, externos y temporales) y su actividad en sistemas de TI
… 2
(Entorno de TI, operación de sistemas, desarrollo y mantenimiento)
deben ser identificables de manera única. Permitir que el usuario se
… identifique a través de mecanismos de autenticación. Confirmar que
los permisos de acceso del usuario al sistema y los datos están en
… 4 línea con las necesidades del módulo definidas y documentadas y
que los requerimientos de trabajo están adjuntos a las identidades
del usuario. Asegurar que los derechos de acceso del usuario se
solicitan por la gerencia del usuario, aprobados por el responsable
del sistema e implementado por la persona responsable de la
seguridad. Las identidades del usuario y los derechos de acceso se
mantienen en un repositorio central. Se despliegan técnicas
efectivas en coste y procedimientos rentables, y se mantienen
actualizados para establecer la identificación del usuario, realizar la
autenticación y habilitar los derechos de acceso.
DS5.4 Administración de Cuentas del Usuario: Garantizar que la

solicitud, establecimiento, emisión, suspensión, modificación y
cierre
Tema de cuentas
Vistas dinámicas.de
Conusuario y de
la tecnología deBlogger.
los privilegios relacionados, sean
10 de 15 27/4/2018 2:58 p. m.
tomados en cuenta por un conjunto de procedimientos. Debe

incluirse un procedimiento de aprobación que describa al
responsable de los datos o del sistema otorgando los privilegios de
acceso. Estos procedimientos deben aplicarse a todos los usuarios,
incluyendo administradores, usuarios externos e internos, para
casos normales y de emergencia. Los derechos y obligaciones
… relativos al acceso a los sistemas e información del módulo deben
acordarse contractualmente para todos los tipos de usuarios.
Realizar revisiones regulares de la gestión de todas las cuentas y
los privilegios asociados.
DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad: Garantizar

que la implementación de la seguridad en TI sea probada y
… 1
monitoreada de forma pro-activa. La seguridad en TI debe ser re-
acreditada periódicamente para garantizar que se mantiene el nivel
… 14 seguridad aprobado. Una función de ingreso al sistema (loggin) y
de monitoreo permite la detección oportuna de actividades
… inusuales o anormales que pueden requerir atención.
DS5.6 Definición de Incidente de Seguridad: Implementar
procedimientos para atender casos de incidentes, mediante el uso
de una plataforma centralizada con suficiente experiencia y
… 4
equipada con instalaciones de comunicación rápidas y seguras.
Igualmente establecer las responsabilidades y procedimientos para
… 16 el manejo de incidentes.
… 5 DS5.7 Protección de la Tecnología de Seguridad: Garantizar que la

tecnología relacionada con la seguridad sea resistente al sabotaje y
1
no revele documentación de seguridad innecesaria.
…
DS5.8 Administración de Llaves Criptográficas: Asegurar que la

… 2
información de transacciones (datos, password, llaves
criptográficas) es enviada y recibida por canales confiables
… (trustedpaths), mediante encriptamiento de sistemas y usuarios.
… 4 DS5.9 Prevención, Detección y Corrección de Software Malicioso:

Garantizar procedimientos para el manejo y corrección de
problemas ocasionados por software malicioso generalmente en el
caso de virus.
DS5.10 Seguridad de la Red: En la organización al existir conexión

a la red de internet se debe implementar el uso de técnicas de
seguridad y procedimientos de administración asociados como
firewalls, para proteger los recursos informáticos y dispositivos de
seguridad.
DS7 Educar y Entrenar a los Usuarios: Para una educación

efectiva de todos los usuarios de sistemas de TI, incluyendo
aquellos dentro
Tema Vistas deCon
dinámicas. TI,la tecnología
se requieren identificar las necesidades de
de Blogger.
11 de 15 27/4/2018 2:58 p. m.
entrenamiento de cada grupo de usuarios. Además de identificar

las necesidades, este proceso incluye la definición y ejecución de
una estrategia para llevar a cabo un entrenamiento efectivo y para
medir los resultados. Un programa efectivo de entrenamiento
incrementa el uso efectivo de la tecnología al disminuir los errores,
incrementando la productividad y el cumplimiento de los controles
… clave tales como las medidas de seguridad de los usuarios.
Para ello se tomaran en cuenta los siguientes objetivos de control:
DS7.1 Identificación de Necesidades de Entrenamiento y

Educación: Establecer y actualizar de forma regular un programa
de entrenamiento para cada grupo objetivo de empleados, que
… 1
incluya: Implementar procedimientos junto con el plan de largo
plazo, valores sistémicos (valores éticos, cultura de control y
… 14 seguridad, otros), implementación de nuevo software e
infraestructura de TI (paquetes y aplicaciones), perfiles de
… competencias y certificaciones actuales y/o credenciales
necesarias, metodos de impartir la capacitación, tamaño del grupo,
accesibilidad y tiempo.
DS7.3 Evaluación del Entrenamiento Recibido: Al finalizar el

… 4
entrenamiento, evaluar el contenido del entrenamiento respecto a la
relevancia, calidad, efectividad, percepción y retención del
… 16 conocimiento, costo y valor. Los resultados de esta evaluación
deben contribuir en la definición futura de los planes de estudio y de
… 5 las sesiones de entrenamiento.
1
DS8 Administrar la Mesa de Servicio y los Incidentes: asegurar
…
que cualquier problema experimentado por los usuarios o
estudiantes sea atendido apropiadamente realizando una mesa de
… 2
ayuda que proporcione soporte y asesoría de primera línea.
… DS8.1 Mesa de Servicios: Establecer la función de mesa de

servicio, la cual es la conexión del usuario con TI, para registrar,
… 4 comunicar, atender y analizar todas las llamadas, incidentes
reportados, requerimientos de servicio y solicitudes de información.
Deben existir procedimientos de monitoreo y escalamiento basados
en los niveles de servicio acordados en los SLAs, que permitan
clasificar y priorizar cualquier problema reportado como incidente,
solicitud de servicio o solicitud de información. Medir la satisfacción
del usuario final respecto a la calidad de la mesa de servicios y de
los servicios de TI.
DS8.3 Escalamiento de Incidentes: Establecer procedimientos de

mesa de servicios de manera que los incidentes que no puedan
resolverse de forma inmediata sean escalados apropiadamente de
acuerdo con los límites acordados en el SLA y, si es adecuado,
brindar soluciones
Tema Vistas dinámicas. Conalternas. Garantizar
la tecnología de Blogger. que la asignación de
12 de 15 27/4/2018 2:58 p. m.
incidentes y el monitoreo del ciclo de vida permanecen en la mesa

de servicios, independientemente de qué grupo de TI esté
trabajando en las actividades de resolución.
DS8.4 Cierre de Incidentes: Establecer procedimientos para el

monitoreo puntual de la resolución de consultas de los usuarios.
… Cuando se resuelve el incidente la mesa de servicios debe registrar
la causa raíz, si la conoce, y confirmar que la acción tomada fue
acordada con el usuario.
DS8.5 Análisis de Tendencias: Emitir reportes de la actividad de la

mesa de servicios para permitir a la dependencia medir el
desempeño del servicio y los tiempos de respuesta, así como para
… 1
identificar tendencias de problemas recurrentes de forma que el
servicio pueda mejorarse de forma continua.
… 14
DS9 Administración de la Configuración: Mantener un depósito

… centralizado donde se almacene la información de configuración de
software y hardware, ofreciendo así mayor disponibilidad a los
usuarios y administradores del sistema, además de mantener un
inventario actualizado de la existencia física de TI.
… 4
El objetivo de control que se evalua es el siguiente:
… 16 DS9.3 Revisión de Integridad de la Configuración: El Área

Informática debe revisar periódicamente los datos de configuración
… 5 para verificar y confirmar la integridad de la configuración actual y
ejecuta rutinas de revisión de software instalado para establecer
1
inconsistencias o desviaciones que perjudiquen los intereses de la
…
organización o que violen políticas de uso.
… 2
DS12 Administración del Ambiente Físico: La protección del
equipo de cómputo y del personal, requiere de instalaciones bien
… diseñadas y bien administradas. El proceso de administrar el
ambiente físico incluye la definición de los requerimientos físicos
… 4 del centro de datos (site), la selección de instalaciones apropiadas
y el diseño de procesos efectivos para monitorear factores
ambientales y administrar el acceso físico. La administración
efectiva del ambiente físico reduce las interrupciones del módulo
ocasionadas por daños al equipo de cómputo y al personal.
DS12.1 Selección y Diseño del Centro de Datos: Registro y control y

el Área Informática deben definir y seleccionar los centros de datos
físicos para el equipo de TI para soportar la estrategia de
tecnología ligada a la estrategia del negocio. Esta selección y
diseño del esquema de un centro de datos debe tomar en cuenta el
riesgo asociado con desastres naturales y causados por el hombre.
También debe considerar las leyes y regulaciones
correspondientes,
Tema Vistas dinámicas. tales como regulaciones
Con la tecnología de Blogger. de seguridad y de salud
13 de 15 27/4/2018 2:58 p. m.
en el trabajo.
DS12.2 Medidas de Seguridad Física: Evaluar las medidas de

seguridad físicas alineadas con los requerimientos de la
organización. Las medidas deben incluir, zonas de seguridad, la
ubicación de equipo crítico y de las áreas de envío y recepción. En
… particular mantenga un perfil bajo respecto a la presencia de
operaciones críticas de TI. Deben establecerse las
responsabilidades sobre el monitoreo y los procedimientos de
reporte y de resolución de incidentes de seguridad física.
DS12.3 Acceso Físico: Evaluar e implementar procedimientos para

otorgar, limitar y revocar el acceso a locales, edificios y áreas de
… 1
emergencias. El acceso a locales, edificios y áreas debe
justificarse, autorizarse, registrarse y monitorearse. Esto aplica para
… 14 todas las personas que accedan a las instalaciones, incluyendo
personal, estudiantes, visitantes o cualquier tercera persona.
…
DS12.4 Protección Contra Factores Ambientales: Diseñar e
implementar medidas de protección contra factores ambientales.
Deben instalarse dispositivos y equipo especializado para
monitorear y controlar el ambiente.
… 4
DS12.5 Administración de Instalaciones Físicas: Se debe administrar

… 16 las instalaciones, incluyendo el equipo de comunicaciones y de
suministro de energía, de acuerdo con las leyes y los reglamentos,
… 5 los requerimientos técnicos y de la institución, las especificaciones
del proveedor y los lineamientos de seguridad y salud.
… 1
DS13 Administración de Operaciones: Se requiere de una
efectiva administración protección de datos de salida sensitivos,
… 2
monitoreo de infraestructura y mantenimiento preventivo de
hardware en la organización.
…
Para ello se evalua el siguiente objetivo de control:
… 4
DS13.5 Mantenimiento Preventivo del Hardware: Evaluar los
procedimientos para garantizar el mantenimiento oportuno de la
infraestructura para reducir la frecuencia y el impacto de las fallas o
de la disminución del desempeño.
Dominio Monitorear Y Evaluar (ME). Todos los procesos del

módulo de matrícula necesitan ser evaluados regularmente a través
del tiempo para verificar su calidad y suficiencia en cuanto a los
requerimientos de control, integridad y confidencialidad, por tal se
evaluara el sigueinte proceso:
ME2 Monitorear y Evaluar el Control Interno: Se debe

proporcionar e incrementar
Tema Vistas dinámicas. Con la tecnologíalos niveles de confianza entre la
de Blogger.
14 de 15 27/4/2018 2:58 p. m.
organización, empleados y clientes con respecto a las operaciones

eficientes y efectivas dentro del módulo.
ME2.3 Excepciones de Control: Identificar los incidentes, analizar e

identificar sus causas raíz subyacentes para establecer acciones
correctivas necesarias y verificar si los resultados de los controles,
… son reportados y analizados rápidamente, para evitar errores e
inconsistencias y que sean corregidos a tiempo.
Finalmente se establecerá las responsabilidades de cada

integrante del grupo auditor respecto a los procesos que serán
evaluados y se crea un cronograma de las actividades de
… 1
evaluación que se realizarán en el proceso de auditoría.
… 14
Publicado 13th February 2012 por FRANCISCO NICOLAS SOLARTE

… SOLARTE
PROGRAMA DE AUDIT… 0 Añadir un comentario
… 4
… 16
… 5
Comentar como:
… 1
Publicar
… 2
… 4
Tema Vistas dinámicas. Con la tecnología de Blogger.
15 de 15 27/4/2018 2:58 p. m.

Programa de Auditoria - Cobit

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Programa de Auditoria - Cobit

Cargado por

Copyright:

Formatos disponibles

PROGRAMA DE AUDITORIA – COBIT | AUDITORÍA INFORMÁT... http://auditordesistemas.blogspot.com/2012/02/programa-de-auditoria-co...

El programa de auditoría hace referencia a la programación de las

… Objetivo general: Evaluar el sistema de información de usado para

Alcances: En cuanto a los alcances de la auditoría se trabajará el

Del módulo de matrícula académica se evaluará: Asignaturas a

Horarios, Horarios Humanística.

En cuanto al hardware: En cuanto al hardware se evaluará el

En cuanto al sistema: En cuanto al sistema se evaluará la

… 5 Para realizar el proceso de auditoría al Sistema de información de

Los procesos seleccionados que se revisará y los objetivos de

Proceso: PO1 Definir un Plan Estratégico de TI: La definición de

Los objetivos de control relacionados con los alcances de la

PO1.3 Ecaluación del desempeño y la capacidad actual: La

PO2 Definir la Arquitectura de la Información: Permite definir un

Los objetivos de control que se evaluaran son los siguientes:

PO2.4 Administración de la integridad de datos: Los

PO4.7 Responsabilidad del aseguramiento de la calidad de TI: Se

PO4.8 Responsabilidad sobre el riesgo, la seguridad y el

PO8.3 Estándares de desarrollo y de adquisición: Adoptar y

PO8.5 Mejora continua: Mantener y comunicar regularmente un

PO9 Evaluar y administrar los riesgos de TI: Encargado de

PO9.1 Marco de trabajo de administración de riesgos: Se debe

… 14 PO9.3 Identificación de eventos: Identificar los riesgos (una

PO9.4 Evaluación de los riesgos de TI: Medir los riesgos a través

… 5 PO9.5 Respuesta a los riesgos: Definir un plan de acción contra

PO9.6 Mantenimiento y monitoreo de un plan de acción de riesgos:

Dominio: Adquirir e implementar (AI) Para llevar a cabo la

De este dominio se ha seleccionado los siguientes procesos y

AI2 Adquirir y Mantener Software Aplicativo: Las aplicaciones

AI2.1 Diseño de Alto Nivel: Traducir los requerimientos a una

… 5 AI2.3 Control y Posibilidad de Auditar las Aplicaciones: Implementar

AI2.4 Seguridad y Disponibilidad de las Aplicaciones: Abordar la

AI2.5 Configuración e Implantación de Software Aplicativo Adquirido:

AI2.6 Actualizaciones Importantes en Sistemas Existentes: En caso

AI2.7 Desarrollo de Software Aplicativo: Garantizar que la

especificaciones de diseño, los estándares de desarrollo y

… AI2.9 Administración de los Requerimientos de Aplicaciones: Seguir

AI2.10 Mantenimiento de Software Aplicativo: Desarrollar una

AI3 Adquirir y Mantener Infraestructura Tecnológica: Las

… 4 AI3.2 Protección y Disponibilidad del Recurso de Infraestructura:

AI3.3 Mantenimiento de la Infraestructura: Desarrollar una estrategia

periódica contra las necesidades, administración de parches y

AI3.4 Ambiente de Prueba de Factibilidad: Establecer el ambiente

AI6.3 Cambios de emergencia: La Dependencia debe tener

AI6.4 Seguimiento y reporte del estatus de cambio: Se debe hacer

Dominio Entregar Y Dar Soporte (DS). Encargado de garantizar

DS4 Garantizar la Continuidad del Servicio: Es importante que

contingencia de TI y guardando copias de los planes de

DS4.2 Planes de continuidad de TI: La metodología de continuidad

DS4.3 Recursos críticos de TI: Revisar si se lleva un control de los

… DS4.4 Mantenimiento del plan de continuidad de TI: Se debe

DS4.6 Entrenamiento del plan de continuidad de TI: La organización

DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones:

DS4.10 Revisión Post Reanudación: Una vez lograda una exitosa

DS5.4 Administración de Cuentas del Usuario: Garantizar que la

tomados en cuenta por un conjunto de procedimientos. Debe

DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad: Garantizar

… 5 DS5.7 Protección de la Tecnología de Seguridad: Garantizar que la

DS5.8 Administración de Llaves Criptográficas: Asegurar que la

… 4 DS5.9 Prevención, Detección y Corrección de Software Malicioso:

DS5.10 Seguridad de la Red: En la organización al existir conexión

DS7 Educar y Entrenar a los Usuarios: Para una educación

entrenamiento de cada grupo de usuarios. Además de identificar